Hvad betyder databeskyttelsesforordningen for SDN, VDX og de tilsluttede parter Konsulent Eliza Lozan Seniorkonsulent Christina Brunvoll Ernst
Hvem er vi? Konsulent Eliza Lozan E-mail: elozan@deloitte.dk Tlf: +4560706036 Cand.jur, Københavns Universitet Juridisk specialist med fokus på persondatabeskyttelse og it-sikkerhed Fokusområde: implementering af databeskyttelsesforordningen Rådgiver kunder i både den private og offentlige sektor inden for it-sikkerhed og om reglerne i databeskyttelsesforordningen Seniorkonsulent Christina Brunvoll Ernst E-mail: cernst@deloitte.dk Tlf: +4522320207 Cand. Scient i datalogi, CISLI, CRISC, CIPM Arbejdet med informationssikkerhed og privacy i over 10 år Fokusområde: implementering af ISO27001 og databeskyttelseskontroller Rådgiver om implementering af krav og kontroller fra persondatalovgivningen i forhold til databeskyttelse 2016 Deloitte 2
Agenda Generelt om databeskyttelsesforordningen og begreber Hvad gælder i dag for SDN, VDX og de tilsluttede parter Overblik over databeskyttelsesforordningen 10 vigtige krav for SDN, VDX og de tilsluttede parter 2016 Deloitte 3
Overblik over databeskyttelsesforordningen Tidslinje: fra databeskyttelsesdirektivet til databeskyttelsesforordningen I 2000 bliver persondataloven vedtaget i Folketinget, efter det har taget hele 5 år at implementere databeskyttelsesdirektivet Den 4. maj 2016 offentliggøres databeskyttelsesforordningen i EUtidende og er i princippet allerede i trådt i kraft den 25. maj 2016. 2012 2018 2000 2016 Europa Kommissionen fremkommer med det første forslag til en forordning om beskyttelse af persondata, der skal erstatte databeskyttelsesdirektivet. Databeskyttelsesforordningen finder endelig anvendelse den 25. maj 2018 i alle 27 EU-medlemsstater 2 år efter den er trådt i kraft. Persondataloven ophæves samtidig. 4
Ændring af dansk lovgivning Justitsministeriets opgave Databeskyttelses forordningen Toårig implementeringsperiode. Oprettelse af Justitsministeriets databeskyttelseskontor/projektstyregruppen/arbejdsgrupper. Indblik i sammenlignelige landes implementeringsovervejelser. Justitsministeriets vejledning afventer EU-Kommissionens vejledning. Lovgivningsmæssige ændringer af omkring 200 danske særlove (fx sundhedsloven), som regulerer spørgsmål om persondatabeskyttelse. Bestemmelser der strider imod forordningens bestemmelser ophæves. Persondataloven og sikkerhedsbekendtgørelsen falder bort. Tidsramme: projektarbejdets analyser, anbefalinger og udkast til lovgivningsmæssige tilpasninger afsluttes i 1. kvartal af 2017. Lovforslag skal fremsættes i Folketinget omkring oktober 2017. 5
Overblik over databeskyttelsesforordningen Databeskyttelsesforordningen finder kun anvendelse, når man behandler personoplysninger Anonymiserede oplysninger: Den registrerede kan ikke længere identificeres ud fra oplysningen. Skal være tale om uigenkaldelig afidentificering. Forordningens regler finder ikke længere anvendelse. Pseudonymiserede oplysninger: Brug af en forkortelse eller nummer i stedet for navn eller CPR-nummer. Forordningens regler finder anvendelse, såfremt der ved brug af supplerende oplysninger er muligt at identificere den fysiske person, der gemmer sig bag pseudonymet. 6
Hvad er personoplysninger? Fødselsdato Navn Foto Race Løn Køn E-mailadresse Adgangskontrol Seksualitet MedarbejderID Kreditkortnummer Genetisk information Adresse Helbredsoplysninger Politisk overbevisning Telefonnummer Nummerplade Personlighedstest Religion? Interesser Væsentlige sociale problemer Personlige produktionstal Familiemæssige oplysninger Uddannelse (karakterer) Pasnr. Initialer/Loginnavn Stilling GPSoplysninger IP-adresse Fagforeningsmæssige tilhørsforhold Info om enkeltmandsvirksomheder Biometriske oplysninger Videoovervågning Straffeattest Logning i IT-systemer Størrelse på tøj og sko Rejseoplysninger MAC-adresse 2016 Deloitte 7
Personoplysningers inddeling Almindelige personoplysninger: f.eks. navn, adresse, fødselsdato, e-mailadresse, alder, køn, løn, indkomst, gæld, skat, uddannelse, stilling, arbejdsledighed, købshistorik, IP-adresse, faktureringsoplysninger, familieforhold mv. Fortrolige personoplysninger: CPR-numre og pasoplysninger. Følsomme personoplysninger: Oplysninger om religion, etnicitet, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssigt tilhørsforhold, helbredsoplysninger og seksuelle forhold. Helbredsoplysninger er personoplysninger, der vedrører en persons fysiske eller mentale helbred, herunder levering af sundhedsydelser, og som giver information om vedkommendes helbredstilstand. 8
Behandling Bred definition: Enhver håndtering af oplysninger med eller uden brug af automatiseret databehandling. F.eks. Indsamling, registrering, systematisering, brug, opbevaring, tilpasning, ændring, selektion, søgning, offentliggørelse på internettet mv., samkøring, videregivelse, overladelse, overførsel, blokering, begrænsning, sletning, tilintetgørelse, intern anvendelse, anonymisering. MedCom er databehandler, når persondata transmitteres over SDN og VDX. Dataansvarlig en fysisk eller juridisk person, institution eller ethvert andet organ, der alene eller sammen med andre afgør, til hvilket formål og med hvilke hjælpemidler der må foretages behandling. Databehandler en fysisk eller juridisk person, en offentlig myndighed, en institution eller ethvert andet organ, der behandler personoplysninger på den dataansvarliges vegne. Alt er behandling 9
Databeskyttelsesforordningens krav til dataansvarlige og databehandlere Databeskyttelsesforordningen Krav til dataansvarlige er skærpet med den nye databeskyttelsesforordning Krav til databehandlere er skærpet med den nye databeskyttelsesforordning Dataansvarlig Krav fra dataansvarlig til databehandler Databehandler MedCom og andre leverandører Datatilsynet 2016 Deloitte 10
Hvad gælder i dag i relation til SDN, VDX og de tilsluttede parter? Deloitte 2016 11
Hvad gælder i dag i relation til SDN og VDX? Sundhedsdatanettet (SDN) SDN er selve netværket. Ansvaret for, at der er hjemmel til at videregive oplysninger via nettet er hos de dataansvarlige. Ansvaret for sikkerheden ligger i princippet både hos den dataansvarlige og databehandleren, men Datatilsynets kritik rettes ofte mod den dataansvarlige.
Hvad gælder i dag i relation til SDN og VDX? Videoknudepunktet (VDX) Ligesom ved SDN ligger ansvaret for, at der er hjemmel til at videregive oplysninger via VDX hos de dataansvarlige. Ansvaret for sikkerheden ligger i princippet både hos den dataansvarlige og databehandleren, men Datatilsynets kritik rettes ofte mod den dataansvarlige.
Hvad gælder i dag i relation til SDN? Andre underdatabehandlere Forklaring Dataansvarlig Sundhedsdatastyrelsen Medcom (Databehandler) Netdesign (underdatabehandler) Netic (underdatabehandler) Databehandler Persondata De 5 regioner Øvrige tilsluttede statslige myndigheder De 98 kommuner Sundhedsdatanettet Kiropraktorer, fysioterapeuter mv. Tilsluttede alment praktiserende læger og speciallæger Tandlæger Apoteker
Hvad gælder i dag i relation til SDN? Medcom I/S (databehandler) Netic og TDC (databehandler) F.eks. farmaceut ved NN Apotek ApS (NN Apotek ApS er dataansvarlig) F.eks. overlæge ved Rigshospitalet (Region Hovedstaden er dataansvarlig) F.eks. alm. praktiserende læge NN ApS (NN ApS er dataansvarlig)
Hvad gælder i dag i relation til SDN og VDX? Behandlingsreglerne i dag Persondatalovens kapitel 4 (primært 5-11) Sikkerhedsbekendtgørelsen og vejledningen til sikkerhedsbekendtgørelsen Sundhedslovens (primært kapitel 9) Andre særregler om behandling og videregivelse af personoplysninger Generelt i dag: rimelig bred adgang for offentlige myndigheder til at behandle og videregive persondata, hvis det står i loven, eller hvis der i øvrigt er et sagligt formål. Det er den dataansvarlige, der afgør, om personoplysninger må behandles eller videregives. Dette har databehandleren ingen indflydelse på. Eksempel: Praktiserende læge NN afgør, om der er hjemmel i sundhedslovens kapitel 9 til at videregive personoplysninger til Region Hovedstaden. Dette har Medcom eller andre leverandører til SDN og VDX ingen indflydelse på!
Hvad gælder i dag i relation til SDN og VDX? Sikkerhedsreglerne i dag Persondataloven: Persondatalovens 41, stk. 3, om fornødne organisatoriske og tekniske sikkerhedsforanstaltninger. Gælder også for databehandlere, men håndhæves af Datatilsynet i praksis kun over for den dataansvarlige. Sikkerhedsbekendtgørelsen Strengere sikkerhedskrav i sikkerhedsbekendtgørelsen til offentlige myndigheder. Private databehandlere, som servicer offentlige myndigheder, skal også kunne leve op til sikkerhedsbekendtgørelsens krav. Medcom skal kunne leve op til kravene i sikkerhedsbekendtgørelsen. ISO 27001 Alle statslige myndigheder skal have implementeret ISO27001 fra starten af januar 2016
Udfordringer i et systemlandskab og en organisation Databeskyttelsesforordningen handler ikke kun om de juridiske aspekter og tekniske sikkerhedsforanstaltninger Compliance kræver en holistisk og risikobaseret tilgang med fokus på: Sikkerhedsbrister Sundhedsdata Applikations- og systemfejl Manglende eller utilstrækkelig logning Utilstrækkelig adgangs- og brugerstyring Medarbejderdata Hackerangreb Informationssikkerhed og teknologi Forretning og organisation Jura Uddateret og usikker hardog software Historiske data Anbefaling: Design og implementer relevante ISO27001 krav og kontroller herunder styring af informationsaktiver, dataklassifikation, risikostyring, adgangsstyring, leverandørstyring, styring af sikkerhedshændelser, compliance og audit 18
Databeskyttelsesforordningen vigtige krav og hvad er det nye? Deloitte 2016 19
Overblik over databeskyttelsesforordningen Hvad ændrer sig i forhold til den gældende persondatalov? En lang række af de eksisterende regler i persondataloven går igen, men der er bl.a. følgende nyskabelser: Databeskyttels esforordningen Bredere geografisk anvendelsesområde Skærpede sanktioner Dokumentationskrav Privacy by design/default Nye og bedre rettigheder Samtykkekrav Notifikation ved sikkerhedsbrister One-stop shop Virksomheder etableret uden for EU, som udbyder services til forbrugere i EU, er omfattet af forordningen Bøder på op til 2 og 4% af globalomsætningen afhængig af overtrædelsens karakter Krav om at man kan dokumentere, at man overholder databeskyttelsesforordningens krav f.eks. gennem udtræk fra IT-systemer Databeskyttelse skal være indtænkt i IT-systemer, software, apps og organisationen De registrerede får nye og forbedrede rettigheder Skærpede krav til indhentelse af samtykke Krav om underrretning af Datatilsynet inden for 72 timer ved sikkerhedsbrister Datatilsynet i Danmark kan være hovedtilsyn for en dansk virksomhed, som har datterselskaber i andre EU-lande 20
Overblik over databeskyttelsesforordningen Databeskyttelsesforordningen i tal 4% af globalomsætningen i bøde for overtrædelser af forordningen 28,000 estimeret nye databeskyttelsesrådgivere i Europa (IAPP 2016) 7 rettigheder, som den registrerede kan gøre gældende 190+ lande, som potentielt kan blive omfattet af databeskyttelsesforo rodningen 72 timer til at rapportere en sikkerhedsbrist til Datatilsynet 99 artikler i forordningen 2016 Deloitte Denmark GDPR Readiness 21 21 -- DRAFT -- For --
Forordningens 10 vigtige krav for SDN, VDX og de tilsluttede parter skærpelser er på vej! Dataportabilitet Privacy by design og by default Krav om en databeskyttelsesrådgiver (DPO) Samtykkekrav 1 2 3 4 5 6 8 Borgernes ret til sletning Data Protection Impact Assessment (DPIA) Skærpede dokumentationskrav 7 Information om behandling til den registrerede Sanktioner 9 10 Indberetningskrav til Datatilsynet og underretning af registrerede 22 2016 Deloitte
1. Borgernes ret til sletning Formål: at give borgere øget kontrol med egne personoplysninger Nuværende regler om sletning af data præciseres, hvilket betyder, at borgeren kan kræve, at personoplysninger slettes. Brugeren kan dermed trække sit samtykke tilbage og kræve, at alle oplysninger om dennes person slettes, såfremt der ikke foreligger andre legitime grunde til at opbevare personoplysningerne. Den dataansvarlige forpligtes til at gøre tredjeparter opmærksomme på, at den registrerede ønsker personoplysninger slettet. Dette medfører en ressourcebelastning for dataansvarlige. Forordningen stiller krav om, at samtykke til virksomhedernes brug af personoplysninger skal gives udtrykkeligt i form af en erklæring eller lignende. Borgerens ret til sletning omfatter ikke påkrævede sundhedsoplysninger. Anbefales at der udarbejdes en politik og procedure for sletning hos de tilsluttede parter. Anbefales at der stilles krav om sletning til leverandører. Praktiske ændringer: Transparent information til de registrerede om: at det er frivilligt at give samtykke frivilligt hvad formålet med behandlingen er informeret afgrænsning af behandlingen specifikt at samtykket kan trækkes tilbage Undtagelser: Retskravsreglen samt hensynet til ytringsfriheden. 2016 Deloitte 23
2. Dataportabilitet Forordningens regler giver datasubjektet mulighed for at få egne data overført til nye serviceorganer. Berørte sektorer: Virksomheder og myndigheder som modtager oplysninger afgivet af rettighedssubjektet selv. Personer får lettere ved at kræve egne data udleveret. Data skal udleveres i brugbart format - f.eks. Word eller Excel. Personer får lettere ved at overføre personoplysninger fra én serviceudbyder til en anden. Begrænsning: Kravet omfatter kun oplysninger afgivet af personen selv. Kravet om dataportabilitet omfatter ikke SDN eller VDX, da data ikke lagres. 2016 Deloitte 24
3. Krav til Data Protection Impact Assessment/ Konsekvensanalyse vedrørende databeskyttelse Indledende Klassificer data og lav et systemoverblik Gennemfør dataflowanalyse Hvornår Behandling med høj risiko for frihedsrettigheder Før behandlingen Data Protection Impact Assessment = Vurdering af effekten af behandlingsaktiviteterne med henblik på beskyttelse af personoplysninger Indhold Påkrævet hvornår Systematiske og omfattende individuelle beslutninger (herunder profilering) Omfattende behandling af følsomme oplysninger Omfattende systematisk overvågning af offentligt tilgængelige steder Beskrivelse af den planlagte behandlingsaktivitet og formål Vurdering af nødvendigheden og proportionaliteten af behandlingen Vurdering af risici Foranstaltninger taget i betragtning til minimering af risiciene 25 2016 Deloitte 25
4. Privacy by Design og by Default Dette tiltag tvinger virksomhederne til at sætte privacy på dagsordenen i forbindelse med nye produkter, designprocesser osv. Berørte sektorer: Alle forretningssektorer. Betydning for SDN & VDX. Privacy by Design and Privacy by Default: Princippet om Privacy by Design bør implementeres, så privatlivets beskyttelse indbygges i it-arkitekturen hos systemerne SDN og VDX og inddrages i planlægningsfasen til nye procedurer og systemer. By Default betyder, at data kun må behandles, opbevares og indsamles i overensstemmelse med, hvad der er nødvendig samt i overensstemmelse med det oprindelige formål for indsamlingen. Den dataansvarlige skal indføre passende mekanismer for at sikre, at kun nødvendige data behandles. Privacy/databeskyttelseshensyn skal tænkes ind i udviklingen af it-løsninger. Anvend jeres processer og sikkerhedsforanstaltninger fra implementeringen af ISO27001 vurder om disse 2016 Deloitte 26
5. Skærpede dokumentationskrav Dette tiltag tvinger virksomhederne til at sætte privacy på dagsordenen i forbindelse med nye produkter, design processer osv. Berørte sektorer: Alle forretningssektorer Databeskyttelsesrådgiver: På nuværende tidspunkt overlader rådet beslutningen om, hvorvidt det skal være obligatorisk at udpege en databeskyttelsesrådgiver i private virksomheder til medlemslandene. For offentlige myndigheder er det obligatorisk i alle medlemsstaterne. Virksomhederne bliver tvunget til at kortlægge deres data og følgende skal dokumenteres: Politikker og procedurer, procedurer for behandling af den registreredes rettigheder (hvem skal kontaktes hvornår), audits og intern undervisning samt uddannelse af medarbejdere. Formålet med forordningen er at minimere risikoen for krænkelser. Virksomhederne skal derfor kunne dokumentere de overvejelser, de har gjort sig i forbindelse med overholdelsen. Kun de nødvendige data skal behandles i den givne kontekst, slettefrister skal overholdes og kun de nødvendige personer skal have adgang til data. Alt dette skal kunne dokumenteres. Det er ikke endnu meldt ud, hvad minimumskravet er til dokumentation 2016 Deloitte 27
6. Krav om en Databeskyttelsesrådgiver eller Data Protection Officer (DPO) Forordningen indebærer en udvidelse af den dataansvarliges ansvar - især ved at kræve, at de dataansvarlige udpeger en databeskyttelsesrådgiver, når: Der er tale om en offentlig myndighed. Alle offentlige myndigheder, der behandler personoplysninger, skal have en DPO. Domstole er undtaget. Offentlige myndigheder med bred organisatorisk struktur kan nøjes med at udpege én DPO, såfremt den organisatoriske struktur og størrelse tillader det. Virksomhedens kerneaktiviteter i større omfang består af behandlingsaktiviteter, hvis karakter, omfang eller formål kræver regelmæssig og systematisk overvågning af registrerede - eller Kerneaktiviteterne i en virksomhed i større omfang består af behandling af følsomme personoplysninger, lokaliseringsoplysninger eller oplysninger om børn eller medarbejdere i omfattende registre. Koncerner kan udpege én DPO, der er ansvarlige for samtlige selskabers behandling af personoplysninger. Skal I have en DPO? 2016 Deloitte 28
6. Krav til databeskyttelsesrådgiveren DPO en skal udpeges på baggrund af professionelle kvalifikationer og særligt på baggrund af ekspertise inden for databeskyttelseslovgivning samt praksis. DPO en skal have særlig viden om persondatabeskyttelse. DPO ens uafhængighed skal sikres gennem særlige kontrakter DPO tildeles ikke tillidsmandsstatus. DPO ens opgaver er: At informere og rådgive om de forpligtelser, der gælder ifølge forordningen At sikre, at forordningens regler overholdes i den daglige drift At overvåge, at regler og standarder overholdes - herunder fordeling af ansvar, oplysningskampagner og uddannelse af medarbejdere At rådgive om konsekvensanalyser ved særlige behandlingskategorier At være kontaktperson til myndighederne og til de registrerede At håndtere sikkerhedsbrud herunder indberetning til Datatilsynet og til registrerede, hvis oplysninger er blevet kompromitterede 2016 Deloitte 29
6. Hvilke kompetencer skal en DPO have? Ledelse og organisation Viden om tekniske krav til privacy og datasikkerhed og -beskyttelse Konkret viden om den behandling af personoplysninger i den organisation, hvor den pågældende er ansat. Evnen til at udføre konsekvensanalyser, audits, indgå i drøftelser, udarbejde dokumentation og analyser Evnen til at kommunikere effektivt med interne og eksterne parter 2016 Deloitte 30
7. Dataansvarliges information om behandling til den registrerede Ikke de store ændringer, men vil kræve en administrativ indsats i forbindelse med udfærdigelsen af relevante dokumenter. Berørte sektorer: Særlig forretninger, der agerer som dataansvarlige. Generelt: Dataansvarlige skal give et minimum af information til den registrerede. Format: kortfattet, gennemsigtige, klare og lettilgængelige samt tilpasset den enkelte målgruppes forståelsesniveau. Indhold: Bl.a. identiteten samt kontaktoplysninger på DPO en, opbevaringsperiodens varighed, oplysning om retten til at anmode om sletning samt indsigt i de oplysninger, der behandles om ens person, klageret, cross-border dataoverførsel samt om data ikke er indhentet fra den registrerede selv. Forordningen styrker den registreredes rettigheder, da registrerede personer har krav på at få indsigt i den behandling, deres oplysninger undergår. Sådanne indsigtsbegæringer fra registrerede skal besvares uden ugrundet ophold og senest inden for en måned. Indsigtsbegæringer skal være omkostningsfrie for den registrerede. Anbefaling: Review virksomhedens eksisterende politik for beskyttelse af personoplysninger eller Udarbejd en politik for databeskyttelse, hvor I beskriver hvordan I beskytter personoplysninger 2016 Deloitte 31
8. Dataansvarliges krav om samtykke Samtykke skal være en klar bekræftelse, der indebærer en frivillig, specifik, informeret og utvetydig tilkendegivelse Tavshed, forudafkrydsede felter eller inaktivitet bør ikke udgøre samtykke Samtykke til samtlige behandlingsformål Anmodningen skal være klar, koncis og ikke unødigt forstyrre brugen af den tjeneste, som samtykke gives til 2016 Deloitte 32
9. Dataansvarliges indberetningspligt til tilsyn og den registrerede Indberetning til Datatilsynet: Alene brud, som sandsynligvis vil medføre en høj risiko for enkeltpersoners rettigheder og frihed (identitetstyveri), skal indberettes til Datatilsynet uden ugrundet ophold og senest 72 timer efter, man er blevet opmærksom på det. Det skal bemærkes, at pligten er strafsanktioneret. Indhold: Beskrivelse af hændelsens konsekvenser inklusiv antallet, kategorien samt volumen af data, som er blevet påvirket af bruddet. Det skal endvidere oplyses hvilke foranstaltninger, der er taget for at løse problemet samt for at mindske dets skadevirkninger. Underretning af den registrerede: Den udløsende faktor for at underrette de berørte personer er den samme og skal ske uden unødigt ophold. Underretningspligt kun såfremt bruddet sandsynligvis vil medføre en høj risiko for enkeltpersoners rettigheder og frihed. Indhold: Den registrerede skal have viden om bruddets karakter og skal modtage kontaktoplysninger på en eventuel DPO. Derudover skal den dataansvarlige vejlede den registrerede om, hvilke handlinger de kan foretage for at mindske konsekvensen af bruddet. Underretningen skal være klar og letforståelig. Undtagelser: Det er ikke nødvendigt at underrette den registrerede i tilfælde hvor den dataansvarlige kan dokumentere at tilstrækkelige sikkerhedsforanstaltninger er implementeret. Anbefalinger: Stil specifikke krav til leverandører og udarbejd en politik og procedure for håndtering af sikkerhedshændelser. 2016 Deloitte 33
10. Sanktioner Kan MedCom og tilsluttede parter rammes af sanktioner? Forordningen implementerer harmoniserede sanktioner i hele Unionen Eksempler 1. Første lovbrud for individer og små-virksomheder: en skriftlig advarsel 2. Overtrædelser begået af dataansvarlige og databehandlere kan sanktioneres med bøder op til 10.000.000 EUR eller 2% af den globale omsætning. 3. Overtrædelser af de persondataretlige principper sanktioneres med en bøde på op til 20.000.000 EUR eller 4% af den global omsætning. 4. Diskussion om offentlige institutioner skal ifalde bødeansvar. 6. Faktorer af betydning for bødestørrelsen er f.eks. karakteren, alvoren og varigheden, gentagelsessituationer, omfanget af skaden, foranstaltninger taget for at mindske skadesniveauet m.v. 7. Bødestørrelserne skal være effektive, proportionale samt afskrækkende. Før var bødeniveauet på 3.000 10.000 kr. samt 25.000 kr. for grove overtrædelser. 8. Datatilsynet forpligtes til at undersøge klager fra de registrerede. 9. Gruppesøgsmål. 10. Dårligt omdømme / manglende troværdighed. 2016 Deloitte 34
Informationssikkerhed og risikohåndtering Databeskyttelsesforordningen berører mange lag i forretningen & organisationen Styring, organisation og mennesker Styring, organisation og mennesker Databeskyttelsesforordningen skal forankres på ledelsesniveau samt udbredes på tværs af organisationen. Der skal være fokus på awareness og uddannelse af medarbejdere. Politikker og processer Politikker og processer Databeskyttelsesforordningen berører forretningens politikker og processer for behandling af data. Data Data Databeskyttelsesforordningen skal indtænkes i hele forretningens og organisationens data governance. En strategi for kommerciel anvendelse af data skal ske inden for rammerne af forordningen. Teknologi Teknologi Privacy by design/default stiller skærpede krav til anvendelsen og designet af teknologi og IT-systemer. Væsentligt større fokus på sikkerhed og identity & access management. 35
Start forberedelserne nu! 2016 Deloitte 36
Det Europæiske Databeskyttelsesråd Det Europæiske Databeskyttelsesråd bliver tilsynsførende for databeskyttelse og er tiltænkt en fremtrædende rolle. Afløser Artikel 29-gruppen, som består af ledelsen fra hver national tilsynsmyndighed. Rådet vil få samme sammensætning som art. 29 gruppen, dog vil de blive tillagt videre beføjelser og få en mere fremtrædende rolle, hvilket vil betyde at gruppen får en større indflydelse på det nationale niveau. Rådet vil bidrage med at fortolke forordningen og fastslå dens betydning. De nationale tilsyn skal ikke alene håndtere de nye regler, men skal være underlagt en vis kontrol. 2016 Deloitte 37
Forslag til 6 faser til at blive klar til! Deloitte har udarbejdet 6 overordnede faser, som bør implementeres gennem et databeskyttelsesforordningsprojekt. Det enkelte projekt bør tilpasses den enkelte virksomheds særlige forhold. Fase 1 Lav en organisations- og projektplan Fase 4 Analysér og test informationssikkerheden og processerne for behandlingen af persondata Fase 2 Foretag en data flow og efterfølgende en GAP-analyse Fase 5 Forbered de nødvendige foranstaltninger og procedurer Fase 3 Foretag en juridisk og teknisk analyse af resultaterne af data flow analysen Fase 6 Lav en implementeringsplan og følg op på den! Start med proof of concept. 38
Aktiviteter Implementering af databeskyttelsesforordningen Deloitte foreslår følgende 6 faser ved implementering af databeskyttelsesforordningen i et projekt. Fase #1 Fase #2 Fase #3 Fase #4 Fase #5 Fase #6 Organisations- og projektplan Data flow analyse Juridisk og teknisk analyse af data flows Analyse og test af ITsikkerhed samt processer Forberedelse af foranstaltninger Implementering og opfølgning Stakeholder awareness hos direktionen og/eller senior management Fastlæggelse af scope og aktiviteter Udpegning af styringskomité og deltagende medarbejdere Budgettering Foranalyse af det nuværende niveau af compliance Interviews med medarbejdere fra relevante afdelinger med henblik på kortlægning af data flows Kontakt til eksterne system- og softwareleverandører (databehandlere) Udarbejdelse af data map med overblik over data flows Indledende GAPanalyse Juridisk og ITsikkerhedsmæssig analyse af data flows Dataklassifikation Udarbejdelse af en oversigt/map med identifikation af højrisiko områder og compliance problemstillinger Fremlægning af data flow rapport Interviews og workshops med medarbejdere fra relevante afdelinger i relation til IT-sikkerhed, organisation og processer Analyse af resultater fra interviews Risikobaseret test af IT-sikkerheden Udarbejdelse af rapport Udarbejdelse og fremlægning af risikobaserede juridiske, tekniske og organisatoriske anbefalinger Eventuel rebudgettering Udarbejdelse af en implementeringsplan omfattende bl.a. følgende: - databeskyttelsespolitikker og databehandleraftaler - opsætning af nye arbejdsprocesser og data governance - forbedring af sikkerheden i eksisterende IT-systemer - implementering af nye ITsystemer og software Opfølgningsaktiviteter 39
Om Deloitte Deloitte leverer ydelser indenfor Revision, Skat, Consulting og Financial Advisory til både offentlige og private virksomheder i en lang række brancher. Vores globale netværk med medlemsfirmaer i mere end 150 lande sikrer, at vi kan stille stærke kompetencer til rådighed og yde service af højeste kvalitet, når vi skal hjælpe vores kunder med at løse deres mest komplekse forretningsmæssige udfordringer. Deloittes ca. 200.000 medarbejdere arbejder målrettet efter at sætte den højeste standard. Deloitte Touche Tohmatsu Limited Deloitte er en betegnelse for Deloitte Touche Tohmatsu Limited, der er et britisk selskab med begrænset ansvar, og dets netværk af medlemsfirmaer. Hvert medlemsfirma udgør en separat og uafhængig juridisk enhed. Vi henviser til www.deloitte.com/about for en udførlig beskrivelse af den juridiske struktur i Deloitte Touche Tohmatsu Limited og dets medlemsfirmaer.